Serwery plików NAS

Nowy robak rozprzestrzeniający się przez Skype

przeczytasz w 0 min.

TrendLabs, ogólnoświatowe centrum badań i pomocy firmy Trend Micro, otrzymało ostatnio próbki nowego robaka rozprzestrzeniającego się za pośrednictwem popularnego programu Skype, który umożliwia połączenia VoIP. Robak ten, oznaczony nazwą WORM_SKIPI.A, wykorzystując funkcję czatu komunikatora Skype, wysyła wiadomości do osób z listy kontaktów użytkownika zarażonego komputera. Wiadomości te zawierają łącze, za którego pośrednictwem może zostać pobrana kopia robaka. W chwili pisania niniejszego artykułu większość raportów o infekcjach pochodziła z Tajwanu i Stanów Zjednoczonych (dokładne dane można znaleźć w Dodatku).

Objawem infekcji może być następująca bez udziału użytkownika zmiana stanu dostępności na Nie przeszkadzać oraz brak możliwości zmiany tego statusu lub otwarcia konsoli programu Skype. Dodatkowo wyświetlany jest obrazek - powyżej.


Charakterystyczną cechą robaka WORM_SKIPI.A jest to, że może on „maskować” faktyczne łącze, pod którym znajduje się jego kopia. Na przykład w chwili pisania niniejszego artykułu łącza te są widoczne dla odbiorcy jako pliki obrazów JPEG, natomiast w rzeczywistości kierują pod inny, złośliwy adres URL. Robak potrafi także wysyłać wiadomości „konwersacyjne” w różnych językach (w zależności od ustawień programu). Dzięki tej procedurze może on skłonić do kliknięcia podstawionego łącza nawet najostrożniejszych użytkowników, ponieważ sprawia ono wrażenie nieszkodliwego i pochodzącego od prawdziwych rozmówców z listy kontaktów. Poniższa ilustracja przedstawia zrzut ekranu z „rozmową” z udziałem robaka.

Część procedur uruchomionych przez robaka zamyka procesy związane z oprogramowaniem antywirusowym i zabezpieczającym. Ponadto modyfikuje on plik HOSTS w systemie, aby uniemożliwić dostęp do określonych adresów internetowych, w szczególności do serwisów internetowych poświęconych bezpieczeństwu.


Skype ma aktualnie około 220 milionów zarejestrowanych kont użytkowników, z których średnio około 9 milionów jest połączonych w tym samym czasie. Liczby te wskazują, że robak WORM_SKIPI.A mógłby się bardzo szybko rozprzestrzenić, gdyby nie został wykryty.


Trend Micro wykrywa tego robaka za pomocą pliku wzorców 4.709.00. Wszystkie związane z nim adresy URL zostały już zablokowane przez usługę In-the-cloud Reputation. Ponadto Trend Micro oferuje następujące produkty i usługi, które chronią użytkowników przed tym zagrożeniem:

• Ochrona bramy internetowej za pomocą produktów InterScan Web Security Suite (IWSS) lub Interscan Web Security Appliance (IWSA). Produkty te zapobiegają rozprzestrzenianiu się robaka przez skanowanie treści internetowych i blokowanie niebezpiecznych adresów URL wysyłanych przez robaka w wiadomościach.
• Ochrona komputera za pomocą pakietu Web Reputation Services (WRS). Programy OfficeScan i Internet Security (PC-Cillin) umożliwiają blokowanie adresów URL na poziomie przeglądarki, co zapobiega rozprzestrzenianiu się robaka, zaś funkcje skanowania w czasie rzeczywistym chronią użytkowników na poziomie systemu plików.


Użytkownicy komputerów już zainfekowanych przez robaka mogą wykonać następujące czynności:
1. Przeskanowanie komputera programem antywirusowym Trend Micro z użyciem najnowszego pliku wzorców i usunięcie plików wykrytych jako WORM_SKIPI.A. Inni użytkownicy mogą skorzystać ze skanera antywirusowego HouseCall, który firma Trend Micro udostępnia online.

2. Zastosowanie procedury ręcznej opisanej w bazie Trend Micro Virus Encyclopedia.

Więcej informacji na temat robaka WORM_SKIPI.A można znaleźć na stronach Trend Micro:

Virus Encyclopedia
Malware Blog

Komentarze

0
Zaloguj się, aby skomentować
avatar
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.

    Nie dodano jeszcze komentarzy. Bądź pierwszy!

Witaj!

Niedługo wyłaczymy stare logowanie.
Logowanie będzie możliwe tylko przez 1Login.

Połącz konto już teraz.

Zaloguj przez 1Login